Autoclerk旅行预定平台泄露大量美国军队和政府人员数据

iso60001  405天前

22.jpg

近期,vpnMentor的研究团队发现了Autoclerk公司数据库的一个漏洞。Autoclerk刚被Best Western Hotels and Resorts Group收购,而这个数据库和各种在线旅游和酒店平台相关联。

考虑到Best Western是世界上最大的连锁酒店集团之一,此次数据泄露事件潜在影响全球1000多万人,无数客户的预订信息和个人隐私都有可能被泄露,而且该数据库每天还会新增数百万条新记录。

而此次泄密事件中最令人惊讶的受害者不是某个人或公司,而是美国政府、军队和国土安全部。vpnMentor团队发现了高度敏感的数据,直接暴露了政府和军事人员的个人信息,以及他们过去和未来的旅行安排。一旦泄露,造成的影响无法想象。

时间轴

在发现这个数据库后,vpnMentor团队通过多种方法去找寻背后的所有者,最终确定其很有可能属于Autoclerk。同时,我们也联系了美国CERT,向它们描述了事件性质(与政府和军队有关)。不过,在本文发布时,他们并没有回复我们的邮件。

  • 9月13日:数据库被发现

  • 9月13日:与美国CERT联系,未回复

  • 9月19日:美国驻特拉维夫大使馆也表示CERT无响应

  • 9月26日:与五角大楼代表取得联系,他表示这个问题将很快得到解决

  • 10月2日:数据库关闭

数据库信息

该数据库托管在美国Amazon服务器上,数据量超过179GB。大部分数据来自外部的旅游和接待平台,通过某个统一的平台进行交互。受影响的系统包括旅游和酒店业的物业管理系统(PMS)、预订系统和各类数据服务系统。

Autoclerk的系统是一个针对酒店、业主、旅行社的综合预订系统。其包括基于服务器和云的物业管理系统、网页预订系统、中央预订管理系统和各类接口。因此,这次所发现的数据库和无数的酒店及旅游平台相连。以下外部平台均受影响:

  • HAPI Cloud

  • OpenTravel

  • myHMS and CleanMeNext by Autoclerk

  • Synxis by Sabre Hospitality Solutions

虽然这些平台大多位于美国,但其中包括世界各地用户的数据。研究团队还看到了许多未加密的登录凭证,以及大量外部系统的帐户,如独立的PMS平台、客户评级和评论系统等。

个人旅行信息

由于此次泄露的数据和旅游及酒店有关,因此数据库中包含了10万条预订信息,其中含有住宿客人的隐私。信息条目为:

  • 全名

  • 出生日期

  • 家庭住址

  • 电话号码

  • 日期和旅行费用

  • 打码的信用卡信息

有些客人已登记入住酒店,所以他们的登记时间和房间号码也在数据库中。

美国政府的数据

除了大量个人的预订信息,美国政府人员和军事人员的信息也出现在数据库中。我们相信这对美国政府和军方产生的影响是无法估量的。攻击者利用这些信息可以进行大量有针对性的钓鱼攻击。只要有一次成功,后果就可能很严重。2018年,俄罗斯黑客就是利用一次简单的钓鱼攻击,进入了美国民主党的服务器。此外,这些信息(房间号等)还会直接威胁到人员的生命安全,而且也难以保证这些数据不会被传播。

如何发现

vpnMentor研究团队是在某次大型安全项目中对某个IP进行扫描时发现的,数据源是一个Elasticsearch(在以往已发生过大量有此软件有关的数据泄露事件)。研究人员可以直接通过浏览器进行访问,并用特定语句进行操控。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.vpnmentor.com/amp/blog/us-travel-military-leak/

最新评论

昵称
邮箱
提交评论